El término Sistema de Gestión de Seguridad de la Información se encuentra ligado a la norma ISO 27001, aunque no es la única normativa que existe sobre este concepto.
Es muy importante recordar que un Sistema de Gestión de Seguridad de la Información es el conjunto de políticas que se realizan en una organización para administrar su información. Es importante realizar de forma periódica auditoría ISO 27001.
Las políticas hacen referencia al diseño, desarrollo y mantenimiento de los métodos utilizados para gestionar la accesibilidad de la información y asegurar la confidencialidad, integridad y disponibilidad de los datos.
El Sistema de Gestión de Seguridad de la Información se deberá realizar durante un largo periodo de tiempo para minimizar los riesgos de seguridad de la información y adaptarse a los cambios internos y externos de la empresa. Además, deberá estar en continua revisión para cumplir con la cláusula 8 y 9 que establece la norma ISO 27001.
La auditoría ISO 27001 es esencial para comprobar la correcta certificación. La auditoría se deberá realizar en intervalos de tiempo planificados. En ocasiones, la auditoría ISO 27001 puede resultar compleja, especialmente si no se conoce cómo poner en marcha el proceso y documentarlo, o qué aspectos se deben tener en cuenta en un Sistema de Gestión de Seguridad de la Información.
A continuación, ofrecemos algunos consejos para realizar la auditoría ISO 27001:
- Comprobar el trabajo más de una vez y por parte de más de una persona. Es necesario que se revise el trabajo de uno mismo es imprescindible, pero cuando se trata de auditoría ISO 27001 hace falta más. Un auditor experto detectará posibles puntos de mejora o nuevas tareas a realizar que pueden escaparse si el trabajo es revisado por una sola persona.
- Las auditorías independientes son muy útiles. Muchas organizaciones eligen un auditor certificado independiente para asegurar el éxito de la certificación ISO 27001. El motivo radica en que una auditoría independiente identifica mejor las brechas de seguridad y la correcta implantación de las demandas de esta norma internacional sobre seguridad de la información.
- Las preguntas en una auditoría son buenas. El director de TI señala que el hecho de que una empresa parezca desafiada en una auditoría puede ser frustrante, sobre todo, si cuenta con las medidas para el buen funcionamiento del negocio. Los requisitos ISO 27001 son muy específicos y tienen un lenguaje muy genérico, por lo que suelen surgir dudas durante el procedimiento. Es bueno resolver todas estas cuestiones, ya que obliga a la empresa a adoptar las exigencias del estándar ISO 27001 y estar preparado para la certificación final.
- Conseguir el conocimiento apropiado. A la vez que las empresas contratar un auditor cualificado con experiencia ISO 27001, para tener todas las garantías de certificación de la norma, por lo que se recomienda adquirir estas competencias internamente. Es necesario estar al tanto de lo que pasa en la auditoría ofrecerá un conocimiento sobre cómo gestionar la información y conseguir a su vea el aprendizaje sobre las vulnerabilidades de seguridad. Es necesario destacar que, sin la experiencia de un profesional experimentado en auditorías internas, estas pueden llegar a ser un verdadero caos. Asimismo, eta situación que se agravaría si es la primera toma de contacto con la norma ISO 27001.
Uno de los estándares más representativos entre auditores internos es la norma ISO 27001, la cual especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información.
Tomado de: https://www.pmg-ssi.com